Embed Size (px)
Citation preview
PPE2
Mise en place d’un contrôleur
de domaine avec Active
Directory Domain Services
(AD DS)
1SIO
Alexis GOBBO Session 2017-2018
Table des matières
PRESENTATION.................................................................................................... 5
INSTALLATION ET CONFIGURATION DU ROLE AD DS................................ 5
CONFIGURATION DU CONTROLEUR DE DOMAINE............ 6
CONFIGURATION DU SERVEUR DNS……………………………………………………….7
CRÉATION D’UNE UO…………….................................................................................. 8
CREATION D’UN UTILISATEUR.............................................................................. 9
MISE EN PLACE DES DOSSIERS PARTAGÉS......................................................... 10
AJOUT D’UNE NOUVELLE MACHINE SUR LE DOMAINE……………………………………11
SCHÉMA RESEAU............................................................................................... 12
CONCLUSION .................................................................................................... 13
Nature de l’activité
Contexte : Mise en place d’un contrôleur de domaine Active Directory
Objectifs : Gestion de l’authentification et droit à l’accès sur les données et objets
(ressources) du domaine.
Conditions de réalisations
Matériels :
1 VM sous Windows Server 2008 R2
1 VM sous Windows 7
1 PC hôte sous Windows 7
Durée de réalisation : 30 minutes
Logiciels :
VMware Workstation
Contraintes :
Nécessite une machine physique avec la technologie de virtualisation et disposant
d’une bonne quantité de RAM.
Description de la solution
Nous allons installer un serveur Active directory et DNS sous Windows Server 2008
R2
Conditions initiales : Windows Update à jour sur les deux VM.
Conditions finales : Un contrôleur de domaine sous Windows Server 2008 R2
configuré et fonctionnel
Compétences mise en œuvre pour cette activité professionnelle
A1.1.1 Analyse du cahier des charges d'un service à produire
A1.2.2 Rédaction des spécifications techniques de la solution retenue
A1.2.4 Déterminer les tests nécessaires à la validation d’un service
A1.3.1 Test d’intégration et d’acceptation d’un service
A1.3.4 Déploiement d'un service
A1.4.3 Gestion des ressources
A3.2.1 Installation et configuration d’éléments d’infrastructure
A4.1.9 Rédaction d'une documentation technique
I – Présentation
Machine Virtuelle 1 : Cette machine virtuelle va accueillir notre Serveur Windows
Server 2008 R2.
Nom : WIN-8DKU3U1E750
Système : Windows Server 2008 R2 Standard SP1
Mémoire vive : 2 Go
Disque dur : 60 Go
Nombre d’interface : 1
Mode d’accès réseau : Accès par pont
IP : 192.168.1.170/24
Groupe de travail : WORKGROUP
Machine Virtuelle 2 : Cette machine virtuelle va accueillir notre machine qui sera
ajoutée au domaine.
Nom : W7-VM-AG
Système : Windows 7 Professional SP1 x86
Mémoire vive : 1 Go
Disque dur : 30 Go
Nombre d’interface : 1
Mode d’accès réseau : Accès par pont
IP : 192.168.1.120/24
Groupe de travail : WORKGROUP
II – Création du rôle AD DS
La première machine virtuelle, celle avec Windows Server 2008 R2, sera donc le contrôleur de
domaine.
Tout d’abord il faut ouvrir le gestionnaire de serveur, c’est par lui que l’on installe les rôles sur le
serveur, notamment celui qui nous intéresse : Active Directory Domain Service (AD DS).
Pour ajouter un rôle, dans le gestionnaire de serveur, sélectionner l’onglet « Rôles ».
Puis cliquer sur « Ajouter des rôles ».
C’est alors que s’ouvre l’ « Assistant Ajout de rôles » qui va nous guider pour l’ajout du rôle AD DS.
La première étape est un rappel, c’est pourquoi j’ai coché « Ignorer cette étape par défaut »,
cliquer ensuite sur « Suivant » pour passer à la prochaine étape.
Dans cette étape, on demande quel(s) rôle(s) installer. On cochera donc celui qui nous intéresse :
« Service de domaine Active Directory », puis passez à l’étape suivante.
L’étape est une introduction à Active Directory avec des liens pour la documentation sur l’AD DS,
cliqué sur « Suivant »
Cette étape est une confirmation, installer le service.
Viens ensuite l’installation automatique du rôle.
Cette étape retourne si l’installation s’est déroulée correctement.
III - CONFIGURATION DU CONTROLEUR DE DOMAINE
Un serveur informatique hébergeant l'annuaire Active Directory est appelé « contrôleur de
domaine ». Active Directory stocke ses informations et paramètres dans une base de données
distribuée sur un ou plusieurs contrôleurs de domaine.
Une fois le rôle installé, on va maintenant promouvoir le serveur en contrôleur de domaine, pour ce
faire, il faut lancer l’exécutable « dcpromo ».
S’ouvre alors l’ « Assistant Installation des services de domaine Active Directory » qui va nous
aider à faire de ce serveur un contrôleur de domaine. Tout d’abord, cocher : « Utiliser l’installation
en mode avancé » puis passer à l’étape suivante.
Cette étape donne des informations sur la compatibilité avec les algorithmes de chiffrement avec
diffèrent OS, dans l’étape suivante on nous demande de choisir si l’on veut utiliser une foret déjà
existante pour le contrôleur de domaine ou si l’on souhaite en créer une. N’ayant pas de foret je
vais donc cocher « Créer un domaine dans une nouvelle foret ».
Une forêt est un regroupement d’une ou plusieurs arborescences de domaine (arbre).
Ensuite, on nous demande de rentrer le nom du domaine, ici « Alexis-GOBBO.local ».
Puis le nom de domaine NetBIOS, ici « ALEXIS-GOBBO » qui servira pour l’authentification sur le
domaine.
Ensuite il faut entrer un mot de passe pour la restauration des services d’annuaire
Dans cette étape il faut définir les répertoires pour :
La base de données
Les fichiers journaux
SYSLOG
N’ayant pas de serveur DNS, j’octroie donc ce rôle à contrôleur de domaine.
N’ayant pas d’autre controlleur de domaine, j’ai choisi de prendre la version de Windows Server
actuelle « Windows Server 2008 R2 » en tant que niveau fonctionel de ma fôret.
Résumé de la configuration et fin de l’installation.
Pour finir il faut redémarrer.
IV - CONFIGURATION DU DNS
Dans la plupart des recherches DNS (Domain Name System), les clients effectuent une recherche
basée sur le nom DNS d’un autre ordinateur stocké dans un enregistrement de ressource hôte. Ce
type de requête attend une adresse IP comme données de ressource pour la réponse. Le processus
de recherche inversée, est un processus dans lequel les clients utilisent une adresse IP connue et
recherchent le nom d’un équipement sur la base de cette adresse.
Pour créer une nouvelle zone de recherche inversé, il faut dérouler le rôle DNS jusqu’au dossier
« Zone de recherche inversée » puis, avec un clic droit, sélectionner « Nouvelle zone… »
S’ouvre alors l’assistant.
Etant donné que je crée une nouvelle zone, je sélectionne « Zone principale ». L’enregistrement de
la zone dans AD permettra les mises à jour dynamiques sécurisées.
Mon réseau est en IPv4 je sélectionne donc cette technologie.
Dans cette étape, je rentre l’adresse du réseau ou sont mes machines.
Par sécurité je n’autorise que les MAJ dynamiques. Ensuite on arrive à la fin de l’installation, la
zone de recherche inversée est créée.
V – CREATION D’UNE UO (Unité d’organisation)
Une unité d’organisation permet d’organiser les objets Active Directory.
Dérouler le rôle Active Directory, puis « Utilisateur et ordinateurs Active Directory ». Avec un clic
droit sur le domaine ici : Alexis-GOBBO.local sélectionner Nouveau -> Unité d’organisation.
Je crée une unité « Développeurs », le paramètre protection de la suppression accidentelle ajoute
une contrainte a la suppression de cette UO : il faut être authentifié en tant qu’administrateur du
domaine.
VI – CREATION D’UN UTILISATEUR
On va ajouter un utilisateur dans ce domaine, dans l’UO « Développeurs ».
Faire un clic droit sur l’UO et sélectionner Nouveau -> Utilisateur.
S’ouvre alors une fenêtre, ou l’on doit renseigner des informations sur l’utilisateur, et son
identifiant.
Il faut ensuite renseigner le mot de passe du compte utilisateur.
Le compte utilisateur est créé.
VIII – CREATION D’UN GROUPE D’UTILISATEURS
Les groupes d’utilisateurs permettent de faciliter la gestion des utilisateurs, par exemple pour le
contrôle d’accès à une ressource.
Pour créer un groupe, il faut faire clic droit et sélectionner Nouveau -> Groupe.
Il faut ensuite entrer le nom du groupe et ses caractéristiques.
Il faut ensuite placer les utilisateurs dans ce groupe. Pour ce, faire clic droit sur un utilisateur et
sélectionner « Ajouter à un groupe… ».
Il faut ensuite sélectionner le groupe auquel ajouter l’utilisateur.
IX – PARTAGE D’UN DOSSIER
Partager un dossier permet à des utilisateurs d’accéder à ce dossier depuis une machine du
domaine.
J’ai créé un nouveau dossier « Share » dans le répertoire « C:\ ». Pour partager ce dossier et
permettre au groupe « DEV » d’accéder à cette ressource, faite un clic droit sur le dossier à
partager puis sélectionner « Propriétés ».
Se positionner sur l’onglet « Partage » puis sélectionner « Partage avancé ».
Cocher « Partager ce dossier » pour permettre le partage de ce dossier puis sélectionner
« Autorisations ».
Dans les autorisations d’accès au dossier, enlever les droits au groupe d’utilisateurs « Tout le
monde », puis sélectionné « Ajouter » pour ajouter le groupe « DEV » qui auras donc un accès
exclusif.
Il faut ensuite rentrer le nom du groupe à ajouter aux autorisations, ici « DEV »
Une fois le groupe ajouté, il faut lui définir les droits sur ce dossier (Contrôle total, Modifier et
Lecture), j’attribue le contrôle total au groupe DEV
VII - AJOUT D’UNE NOUVELLE MACHINE SUR LE DOMAINE
On va ajouter la machine virtuelle 2 sur le domaine « Alexis-GOBBO.local »
Sur la VM 2, faite clic droit sur « Ordinateur » et sélectionner « Propriétés ».
Puis cliquer sur « Modifier les paramètres »
Dans les propriétés système, sélectionné « Modifier ».
Dans la partie « Membre d’un » sélectionner « Domaine : » puis entrer le nom du domaine dans
lequel ajouter cette machine, ici « Alexis-GOBBO.local »
Pour valider il faut se connecter avec un compte du domaine autorisé à ajouter des machines.
Il faut ensuite redémarrer la VM pour que les changements soient pris en compte.
La machine apparait désormais dans l’onglet « Computers » dans le gestionnaire de serveur du
contrôleur de domaine.
On peut désormais s’authentifier sur le domaine avec le compte crée précédemment.
De plus, on dispose donc de l’accès à la ressource « \\WIN-8DKU3U1E750\Share »
